Was ist digitale Forensik?
15.09.2022 | Online-Redaktion, FORUM VERLAG HERKERT GMBH
Mit der zunehmenden Digitalisierung unserer Gesellschaft, wird die Untersuchung digitaler Hinweise bei der Ermittlung von Strafdelikten immer relevanter. Das wissen auch die Straftäter und versuchen mit allen Mitteln ihre digitalen Spuren zu verwischen. Durch die mangelnde Beweislast können solche Vorfälle daher oft schwer oder gar nicht aufgeklärt werden und die Täter kommen ungestraft davon. Um dem entgegenzuwirken, wurde die sog. digitale Forensik entwickelt. Wie definiert man digitale Forensik und wie unterscheidet sich diese von der klassischen Forensik? Was kann man sich unter dem Beruf digitaler Forensiker vorstellen? Welche Herausforderungen sind damit verbunden und wie sieht der berufliche Werdegang aus?
Inhaltsverzeichnis
- Was versteht man unter digitaler Forensik? – Definition
- Was macht ein digitaler Forensiker?
- Wie werde ich IT-Forensiker?
- Fazit – Digitale Forensik
Was versteht man unter digitaler Forensik? – Definition
Unter der klassischen Forensik versteht man die Spurensicherung von Hinweisen, damit eine Straftat aufgeklärt werden kann. Es werden Beweismittel am Tatort gesucht und im Labor auf Spuren analysiert. In der digitalen Forensik werden jene Beweismittel untersucht, die digitaler Natur sind. Zusätzlich gibt es auch immer mehr rein digitale Tatorte, an denen digitale Forensiker ebenfalls nach Hinweisen suchen. Auch wenn die digitale Forensik oft mit der Polizei oder dem Bundeskriminalamt in Verbindung gebracht wird, gibt es diesen Berufszweig ebenfalls in Unternehmen und Forschungsinstitutionen (Beispielsweise das Fraunhofer Institut).
Digitale Forensiker könnten zum Beispiel dann zum Einsatz kommen, wenn ein Unternehmen Opfer eines Cyberangriffes geworden ist oder ein Mitarbeiter sensible Daten für die eigenen Zwecke missbraucht. In diesem Fall würde die Computerforensik – oder auch IT-Forensik – die digitalen Spuren des Vorfalls ermitteln, analysieren und zur Aufklärung des Falls entsprechend einsetzen. Neben der technischen Ermittlung solcher Daten, beschäftigt sich die digitale Forensik außerdem mit der korrekten Beweismittelsicherung, damit diese Spuren auch rechtssicher verwendet werden dürfen.
Was macht ein digitaler Forensiker?
Ein digitaler Forensiker ist eine Person, die digitale Spuren (auf engl. digital data) sichert und lesbar macht. Um die Spurensicherung zu gewährleisten, wurden von Experten und Informatikern die fünf Prinzipien der IT-Forensik entwickelt:
- Identifizierung
- Klassifizierung
- Individualisierung
- Assoziation
- Rekonstruktion
Zu aller erst müssen digitale Spuren identifiziert und klassifiziert werden, um zu ermitteln, wie ein bestimmter Rechner über einen Websitebesuch von einem Computervirus infiziert wurde. Ein Computerforensiker sucht nach digitalen Spuren, z. B. im Browsercache, um so zu identifizieren, dass eine bestimmte Website besucht wurde, auf welcher sich Schadsoftware befand. Dann kann klassifiziert werden, ob und um welche Form von digitaler Spur es sich hierbei handelt. Die Individualisierung ermittelt, ob der infizierte Rechner tatsächlich diese bestimmte Website besuchte. Hier wird beispielsweise nach charakteristischen Eigenschaften, wie Quelltext, Bildelemente oder auch Cookies, in den Spuren gesucht, die individuell auf dieser Website vorkommen. Außerdem muss nach weiteren Hinweisen zum Download der Malware Ausschau gehalten werden.
Bei genügend individueller Merkmale innerhalb der Spuren kann der digitale Forensiker den infizierten Rechner mit der besuchten Website und der installierten Schadsoftware assoziieren. Im letzten Schritt wird nun durch eine Rekonstruktion der Tathergang analysiert, damit der Schaden ermittelt und Abwehrmaßnahmen gegen zukünftige Angriffe ergriffen werden können. Abhängig vom Ermittlungsstand und der Qualität der digitalen Spuren könnten Tatverdächtige identifiziert werden. Dies gestaltet sich aber von Fall zu Fall als unterschiedlich schwierig und deshalb muss in der digitalen Forensik sehr akribisch gearbeitet werden, damit keine digitale Spur übersehen oder verloren geht.
Wie findet die Spurensicherung in der digitalen Forensik statt?
Da es sich bei der digitalen Forensik um immaterielle Spuren handelt, gestaltet sich die Spurensicherung als schwierig. Hier wird zwischen drei Formen von Spuren unterschieden:
- Persistente Spuren
- Semi-persistente Spuren
- Flüchtige Spuren
Bei persistenten Spuren sind Informationen gemeint, die sich auf Speichermedien wie Festplatten, CDs oder USB-Sticks befinden. Ein wesentlicher Charakter solcher Spuren ist, dass nur durch eine aktive Löschung, Zerstörung oder einen Defekt die Daten verloren sind. Meist wird auch ein sogenanntes Backup erstellt, also eine Kopie der Daten auf einem Speichermedium.
Semi-persistente Spuren sind solche Spuren, die beispielsweise im Hauptspeicher oder im Ordner eines Laufwerkes abgespeichert werden, welcher i. d. R. nach einem Tag oder in regelmäßigen Abständen komplett geleert wird. Diese Daten müssen aktiv gesichert werden, damit sie nicht verloren gehen. Mit der erfolgreichen Datensicherung werden diese Spuren persistent.
Die flüchtigen Spuren sind nur sehr kurzfristig verfügbar. Hier handelt es sich um Daten, die nur für einen Moment über ein Netzwerk übertragen werden und somit nahezu spurlos vorrübergehen. Solche Spuren zu sichern erweist sich als sehr schwierig, kann aber beispielweise durch die Protokollierung des Datenverkehrs von der digitalen Forensik nachvollzogen werden.
In der digitalen Forensik kommen die unterschiedlichsten Werkezeuge und Techniken zum Einsatz. (Bild: © Microgen – stock.adobe.com)
Bei der Spurensicherung in der digitalen Forensik ist ein Kernbereich die Datenträgeranalyse. Darunter fällt die Kernaufgabe, die digitalen Spuren sichtbar und lesbar zu machen. Aufgrund der Vielzahl an Speichermedien kommt ein digitaler Forensiker mit den verschiedensten Werkezeugen in Kontakt, um Datenträger lesen zu können. So gibt es neben den oben erwähnten Datenträgern auch Speicherkarten, Mobiltelefone und Rechner. Aber auch ältere Formate wie Magnetbandkassetten, PDAs oder elektronische Kalender müssen ggf. auf relevante Daten überprüft werden. Auch das Format Cloudspeicher findet Jahr für Jahr immer mehr Akzeptanz in der Gesellschaft und gewinnt daher in der digitalen Forensik an größerer Relevanz.
Um all diese Datenträger analysieren zu können, muss ein Labor mit diversen Werkzeugen ausgestattet sein, die für die Meisten bereits als veraltet gelten würden. So können beispielsweise Disketten nicht mit den modernsten Geräten untersucht werden, sondern mit älteren Diskettenlaufwerken oder entsprechenden Adaptern. Damit die Spurensicherung und die forensische IT-Arbeit noch effizienter werden, kooperieren verschiedene nationale und internationale Behörden, Unternehmen und wissenschaftliche Institute miteinander. Ziel ist es neue Methoden zu erforschen und Werkezeuge zu entwickeln, die die Abläufe in der digitalen Forensik erleichtern.
Wie wird die Rechtssicherheit der Spuren in der digitalen Forensik gewährleistet?
Ein weiteres wichtigstes Thema ist es, zu gewährleisten, dass alle Spuren rechtssicher behandelt werden. Bei einer Missachtung könnten die Erfolgschancen einer Ermittlung der digitalen Forensik stark reduziert werden, da im schlimmsten Fall die ermittelten Spuren nicht als Beweise zugelassen werden könnten. Daher muss in der digitalen Forensik immer darauf geachtet werden, dass die Integrität der Daten aufrechterhalten bleibt.
Dies kann zum Beispiel durch eine sog. Chain of Custody gewährleistet werden: Die akribische Dokumentation aller Schritte in der Lebenszeit einer digitalen Spur. So können Außenstehende einfach nachvollziehen, ob ein Hinweis authentisch und unverändert ist oder ob die Möglichkeit einer nachträglichen Manipulation besteht.
Welche Schwierigkeiten gibt es bei der Rechtssicherheit?
Die Rechtssicherheit von digitalen Daten sollte zudem im Optimalfall nicht erst nach einem Vorfall geprüft werden, sondern schon im Vorfeld geklärt und gewährleistet sein.
Digitale Spuren können noch immer täuschend echt manipuliert werden. Somit kann bei nicht zweifelsfreier Authentifizierung auch nicht sicher angenommen werden, ob die Spuren auch der Realität entsprechen. Beispielsweise könnte ein Straftäter sich mit Hilfe von Mitarbeiterdaten Zugang zum Firmennetzwerk verschaffen. Bei der forensischen Untersuchung sähe es aber so aus als hätte der gehackte Mitarbeiter die Straftat begangen.
Deshalb ist es für Unternehmen äußerst wichtig, dass sie Vorbereitungen treffen, die bei Untersuchungen der digitalen Forensik die Authentizität der digitalen Hinweise untermauern könnten. Solche Vorbereitungen wären beispielsweise eine detaillierte Auflistung von digitalen Identitäten, womit bei einem späteren Vorfall die Identität eines Benutzers sicher zugeordnet und die Möglichkeit eines unberechtigten Zugangs zum Firmennetzwerk minimiert werden kann.
Ein weiterer begrenzender Faktor sind Richtlinien und der Datenschutz. Rechtliche Grenzen verhindern zum Beispiel, dass bei innerbetrieblichen Untersuchungen irrelevante Daten gespeichert werden. Dies können sensible Daten sein, die dann unter der DSGVO geschützt sind. Daher wird Unternehmen geraten, dass sie durch eine Betriebsvereinbarung festlegen, bei welchen Kriterien und Tatbeständen eine forensische Untersuchung gerechtfertigt ist und welche Daten bei einer Untersuchung betroffen sind.
Falls es tatsächlich zu einer Analyse durch die digitale Forensik kommen sollte, ist es zwingend notwendig, dass der Betriebsrat mit einbezogen wird. Die Sicherung der Daten an sich darf jedoch unter Umständen auch ohne den Betriebsrat erfolgen, damit alle digitalen Spuren, die ansonsten verloren gehen würden, gesichert werden können und deren Authentizität und Integrität gewährleistet werden kann.
Wie werde ich IT-Forensiker?
Durch den immer größer werdenden Bedarf an IT-Sicherheit und die steigende Anzahl an Cyberkriminalität, sind digitale Forensiker gefragter denn je. Deshalb ist es auch kein Wunder, dass mehr und mehr Universitäten und Fachhochschulen sich auf diesem Fachgebiet spezialisieren. Der aktuelle Expertenmangel hat außerdem einen positiven Effekt auf die Berufschancen der Absolventen und auf die Höhe der Einstiegsgehälter.
Diese digital-forensische Ausbildung kann sowohl im Bachelor- als auch im Master-Studium und als Präsenz- oder Fernstudium absolviert werden. Hierbei wird Wissen in den Bereichen Computer- und Rechtswissenschaften aber auch den Wirtschaftswissenschaften vermittelt. An den meisten Universitäten oder Hochschulen ist der Studiengang Digitale Forensik an der Fakultät für Informatik angesiedelt.
Digitale Forensik – Fazit
Die digitale Welt erfährt ein stetiges Wachstum. Der Fortschritt bringt die Wirtschaft und Gesellschaft natürlich weiter, jedoch könnte ein Krimineller versuchen, diesen Fortschritt zu missbrauchen. Daher ist es für Privatpersonen und Unternehmen essenziell, sich abzusichern und über Datenschutz und IT-Sicherheit zu informieren.
Veranstaltungsempfehlung
Profitieren Sie von der Expertise der AKADEMIE HERKERT im Bereich Cybersecurity und sichern Sie sich ab mit dem Seminar „Maßnahmen zum Schutz vor Cyber Bedrohungen“.
Es kann jedoch nie zu 100 Prozent ausgeschlossen werden, dass ein Cyberangriff stattfindet. Aber die Vorkehrungen, die jetzt getroffen werden, helfen der digitalen Forensik dabei, die Schuldigen zur Rechenschaft zu ziehen, und die eigene IT-Infrastruktur gegen solche Angriffe noch sicherer zu machen.
Quellen: „Infodienst Datenschutz für Praktiker“, www.hs-albsig.de, www.bka.de, www.itsec.techfak.fau.de